[资安人新闻分享] Sophos 对软体开发商 Kaseya 遭骇客攻击的最新发现

Sophos 副总裁暨信息安全长 Ross McKerchar 表示：
「这是 Sophos 所见过影响最深远的犯罪刑勒索软体攻击之一。到目前为止，我们发现的证据表明，有 70 多家托管服务供应商受到影响，导致全球350 多家企业受害。我们预计受害组织的范围将高于任何单一安全厂商所回报的范围。受害者遍布世界各地，其中大多数在美国、德国和加拿大，其他在澳洲、英国和其他地区。」
 
Sophos 工程总监 Mark Loman 表示：
「Sophos 正在积极调查这一起对 Kaseya 的攻击，我们将其视为供应链攻击。对手锁定托管服务供应商 (MSP) 作为散布恶意软体的管道，以尽可能攻击越多的企业而不管其规模或行业类型为何。这是我们刚开始看到的一种模式，攻击者不断地改变手法以获得最大的成果，无论是为了牟利、窃取资料凭证和日后可以利用的其他特殊信息。过去我们在看到的其他大规模攻击中 (例如 WannaCry)，勒索软体本身就是分发者──但在本次情况中，被 IT 部门广泛使用的 MSP 成了散布恶意软体的管道。 
 
「部分得手的勒索软体攻击者已经获得了数百万美元的赎金，足以让他们买得起非常昂贵的零时差漏洞利用攻击。我们通常认为这些漏洞利用攻击只有民族国家这种规模才能发动。『民族国家型攻击者』很少将这些攻击用在特定的单一攻击中，不过一旦它们落入一般的网路犯罪分子之手，只要一次锁定全球平台中漏洞的攻击就可能会同时破坏许多企业，并影响我们的日常生活。
 
「攻击发生一天后，更明显的是，REvil 勒索软体即服务 (RaaS) 的一个相关威胁就利用了这个零时差漏洞，透过 Kaseya 的虚拟系统管理员 (VSA) 软体散布勒索软体。通常，该软体是一个高度受信任的通讯管道，允许 MSP 以无限制的特殊权限使用，以帮助许多企业管理其 IT 环境。」
 
根据 Sophos 威胁情报，REvil 在最近几周一直非常活跃，包括对 JBS 的攻击，并在 Sophos 防御的托管型威胁回应案例中占有重要角色。 

完整全文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9321